Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?  (Lu 17961 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 371
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #120 le: 24 novembre 2019 à 12:03:19 »
L'implémentation de firewall V6 sur les terminaux est du ressort de ceux qui construisent l'OS de ces terminaux, il serai peut-être judicieux de les convier à faire partie de votre task-force ( si ce n'est pas déjà le cas).

Non pas ceux qui construisent l'OS. ca ne sert a rien.
Ce sont les intégrateurs applicatifs et les éditeurs de logiciels qu'il faut impliquer. La couche 7.


PhilippeMarques

  • Expert
  • *
  • Messages: 289
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #121 le: 24 novembre 2019 à 20:44:27 »
Non pas ceux qui construisent l'OS. ca ne sert a rien.
Ce sont les intégrateurs applicatifs et les éditeurs de logiciels qu'il faut impliquer. La couche 7.
Je comprends ton point de vue, mais je ne pense pas que ceux qui développent les OS le voient de cette façon.
C'est sur la couche IP, et les applications utiliseront toujours les "api/librairies" faisant appel à cette couche dans l'OS.
Quand tu vois le contrôle des "stores" d'applications ( même si je comprends la volonté d'intégrer une  "pile TCP/IP minimale" dans l'application type "applets" ou appliances Docker, ce n'est pas la tendance dans les devices, on peut le déplorer mais il va falloir faire avec les incontournables OS encore un certain temps.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 371
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #122 le: 24 novembre 2019 à 21:01:01 »
Je comprends ton point de vue, mais je ne pense pas que ceux qui développent les OS le voient de cette façon.
C'est sur la couche IP, et les applications utiliseront toujours les "api/librairies" faisant appel à cette couche dans l'OS.
Quand tu vois le contrôle des "stores" d'applications ( même si je comprends la volonté d'intégrer une  "pile TCP/IP minimale" dans l'application type "applets" ou appliances Docker, ce n'est pas la tendance dans les devices, on peut le déplorer mais il va falloir faire avec les incontournables OS encore un certain temps.

je ne sais pas ce que tu appelle 'OS' on doit pas avoir la meme définition...

les 'OS' actuellement utilités sont déjà tous IPv6 ready depuis belle lurette.
Le problème c'est au dessus ceux qui intègrent et/ou font des applications et ce sont de toute facon eux influencent et font des demandes aux 'éditeurs' d'OS.
L'approche est "top-down" pas "bottom-up" surtout sur des environnements limités en cpu/ram/etc.

C'est pour ca que tout cette approche "bottom-up" autour IPv6 (barometre & co) est une perte de temps colossale si on n'implique le maillon le plus en haut.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 371
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #123 le: 19 décembre 2019 à 00:09:54 »
Apple, Amazon, Google et la Zigbee Alliance* viennent d'annoncer un groupe de travail pour la domotique (smart home) nommé 'Connected Home over IP'.

https://www.connectedhomeip.com/

Il sera intéressant de suivre leur choix de sécurité concernant l'utilisation d'IPv6

* Zigbee Alliance = IKEA, Legrand, NXP Semiconductors, Resideo, Samsung SmartThings, Schneider Electric, Signify (formerly Philips Lighting), Silicon Labs, Somfy et Wulian

vivien

  • Administrateur
  • *
  • Messages: 36 203
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #124 le: 19 décembre 2019 à 06:38:28 »
Je vois que beaucoup de marques de la Zigbee Alliance sont celles qui bloquaient le passage en IPv6 only sur iOS, avant que Apple introduise le CLAT (c'est introduit à partir de iOS 12) : elles utilisent des IPv4 littérales dans leur application, ce qui fait que le DNS64/NAT64 ne suffit pas.

Max284

  • Client Orange adsl
  • *
  • Messages: 69
IPv6: Le firewall
« Réponse #125 le: 20 décembre 2019 à 19:52:16 »

Bref ce n'est pas l'utilisateur le responsable mais ce qu'il utilise et il n'a pas vraiment le choix.

Aujourd'hui quand une société se fait attaquer par un botnet, les IPs des attaquants sont transmisses a l'ANSSI qui renvoi le blâme aux FAI (en gros c'est aux FAI de 'faire' quelque chose).

Maintenant si chaque fois qu'un PC Windows (ou une appliance) se faisait contaminer on faisait payer une amende a Microsoft (ou au constructeur de l'appliance) au lieu de mettre ca sur le dos du FAI peut-être que les choses changeraient.

En automobile quand un véhicule a un défaut grave c'est le constructeur qui est responsable pas le conducteur ou celui qui fourni la route.

Je ne suis pas d'accord, lorsqu'un utilisateur télécharge et execute un malware sur son PC, on ne peut pas blâmer le constructeur. La majorité des personnes ne connaît pas les gestes simples de sécurité numérique. Les constructeurs sont responsables dans le cas de failles sur leurs logiciels ou équipements, par exemple dans le cas d'un vers qui utiliserai un exploit pour s'infiltrer.
Il faudrait faire plus de prévention auprès du public je pense.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 607
  • La Madeleine (59)
IPv6: Le firewall
« Réponse #126 le: 20 décembre 2019 à 21:07:00 »
J'ai une chaudière à gaz
Je ne suis pas expert dans le domaine
Je ne risque pas de mettre le feu à mon immeuble en utilisant naïvement la chaudière

Si c'était le cas, le constructeur aurait en effet des comptes à rendre

Bref, je partage l'avis de kgersen

Je ne suis pas d'accord, lorsqu'un utilisateur télécharge et execute un malware sur son PC, on ne peut pas blâmer le constructeur. La majorité des personnes ne connaît pas les gestes simples de sécurité numérique. Les constructeurs sont responsables dans le cas de failles sur leurs logiciels ou équipements, par exemple dans le cas d'un vers qui utiliserai un exploit pour s'infiltrer.
Il faudrait faire plus de prévention auprès du public je pense.

decalage

  • Client Bbox adsl
  • *
  • Messages: 112
  • 92
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #127 le: 05 juillet 2020 à 14:22:52 »
Pour info, Bouygues Telecom déploie enfin une MAJ qui autorise l'utilisateur à régler le pare feu ipv6 de sa bbox à sa convenance.
3 réglages : Tout ouvert, ouvert seulement en entrant, tout fermé.
Le choix c'est la vie  ;D

vivien

  • Administrateur
  • *
  • Messages: 36 203
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #128 le: 05 juillet 2020 à 14:38:13 »
J’espère qu'il sera possible d'ouvrir des ports spécifiques ou de mettre des IPv6 en "DMZ".

C'est un point où il y a une grande marge de progression les firewall IPv6 des box.

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 2 130
  • Strasbourg (67)
    • OrneTHD
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #129 le: 05 juillet 2020 à 14:52:46 »
De notre côté, c'est plus évolué. Tu cliques sur ton device, tu as un onglet pour ouvrir les ports en v6 (uPNP le fait aussi).


decalage

  • Client Bbox adsl
  • *
  • Messages: 112
  • 92
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #130 le: 05 juillet 2020 à 15:13:45 »
De notre côté, c'est plus évolué. Tu cliques sur ton device, tu as un onglet pour ouvrir les ports en v6 (uPNP le fait aussi).
J'ai pas fait la description exhaustive des possibilités du pare feu v6 de Bouygues mais oui ils proposent bien sûr (au delà des 3 niveaux de sécurité généraux) le filtrage ipv6 par appareil, par port, source ou destination, tcp ou udp ou les 2, de faire des règles en whitelist ou blacklist, etc...

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 2 130
  • Strasbourg (67)
    • OrneTHD
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #131 le: 05 juillet 2020 à 15:34:30 »
Aaah nickel, ça commence à être sympa :)

 

Mobile View